一种攻击检测方法及系统的制作方法
【技术领域】
[0001] 本发明涉及互联网技术领域,特别涉及一种攻击检测方法及系统。
【背景技术】
[0002] 随着互联网的发展,基于互联网环境的面向大众的互联网web应用也越来越广 泛。这些应用无疑将会使web被攻击的可能性大幅度增加。
[0003] 作为web应用的核心协议,HTTP协议承载了web应用的基本功能的实现。但HTTP 协议本身缺乏相关的安全特性,以及开发人员在编写过程中缺乏安全相关的经验与意识, 因此web应用存在不可避免的漏洞。Web应用安全漏洞的多样性和复杂性也决定了黑客攻 击手段具有同样的特点。
[0004] 目前,针对web漏洞的安全检测方式为:通过对已知攻击的特征进行提取建模,生 成规则库,采取被动检测的方式,检测web漏洞。这种方法针对已知攻击具有比较高的检测 率和低误检率,但对于未知攻击的检测率很低,同时随着攻击的发现,需要对规则库进行及 时更新,使得规则库不断扩大,降低了检测效率。
【发明内容】
[0005] 本发明实施例的目的在于提供一种攻击检测方法及系统,以主动发现未知攻击, 提高对未知攻击的检测率,并提高检测效率。
[0006] 为达到上述目的,本发明实施例公开了一种攻击检测方法,预先建立预设数量的 与HTTP请求相关的检测模型,所述方法包括:
[0007] 获得web访问日志,所述web访问日志包括多条记录,每条记录至少包括:该条记 录的HTTP请求的多个参数;
[0008] 对所获得的web日志进行分解,得到多条记录;
[0009] 针对所得到的每条记录,判断该条记录的HTTP请求是否为成功状态;
[0010] 如果是,提取该条记录的第一数据,所述第一数据至少包括:该条记录的HTTP请 求的多个参数;
[0011] 分别利用预先建立的每个检测模型对所述第一数据进行检测,分别得到每个检测 模型针对该条记录的参数异常值;
[0012] 采用web访问日志样本集,根据优化算法计算得到每个检测模型的参数异常值对 应的优化加权值,以及每个检测模型针对该条记录的参数异常值,加权计算得到针对该条 记录的最终参数异常值;
[0013] 根据所述web访问日志样本集中的所有记录的最终参数异常值,通过迭代方式确 定最终异常门限阈值;
[0014] 针对待检测日志记录,获得每个检测模型针对所述待检测日志记录的参数异常 值;
[0015] 根据所述优化加权值以及针对所述待检测日志记录的参数异常值,计算所述待检 测日志记录的最终参数异常值;
[0016] 判断针对所述待检测日志记录的最终参数异常值是否大于所确定的最终异常门 限阈值;
[0017] 如果是,将所述待检测日志记录的HTTP请求确定为攻击行为。
[0018] 可选的,所述判断该条记录的HTTP请求是否为成功状态,包括:
[0019] 判断该条记录的HTTP请求的响应状态码的值是否在预设的数值范围之内,如果 是,表不该条记录的HTTP请求为成功状态。
[0020] 可选的,预先建立4个与HTTP请求相关的检测模型,分别为:
[0021 ] 枚举类型模型、参数关联模型、长度分布模型和字符分布模型。
[0022] 可选的,利用所述枚举类型模型对所述第一数据进行检测,得到所述枚举类型模 型针对该条记录的参数异常值,包括:
[0023] 根据该条记录的HTTP请求参数的类型,确定所述枚举类型模型针对该条记录的 参数异常值。
[0024] 可选的,利用所述参数关联模型对所述第一数据进行检测,得到所述参数关联模 型针对该条记录的参数异常值,包括:
[0025] 根据该条记录的HTTP请求查询字符串中参数的出现情况以及通过训练得到的参 数子集集合中参数的出现情况,确定所述参数关联模型针对该条记录的参数异常值。
[0026] 可选的,利用所述长度分布模型对所述第一数据进行检测,得到所述长度分布模 型针对该条记录的参数异常值,包括:
[0027] 根据该条记录的HTTP请求参数值长度以及由训练集得到的正常请求参数值长 度,确定所述长度分布模型针对该条记录的参数异常值。
[0028] 可选的,利用所述字符分布模型对所述第一数据进行检测,得到所述字符分布模 型针对该条记录的参数异常值,包括:
[0029] 根据由训练集得到的各参数字符概率分布,计算该条记录的HTTP请求参数的字 符分布与由训练集得到的各参数的字符概率分布的卡方值;
[0030] 根据计算得到的卡方值,确定所述字符分布模型针对该条记录的参数异常值。
[0031] 可选的,所述根据优化算法计算得到每个检测模型的参数异常值对应的优化加权 值,以及每个检测模型针对该条记录的参数异常值,加权计算得到针对该条记录的最终参 数异常值,
[0032] 该条记录的最终参数异常值=ΣmWm*Pm;
[0033] 其中,me预先建立的检测模型,Wm为针对检测模型m的优化加权值,P"为检测模 型m针对该条记录的参数异常值。
[0034] 可选的,根据所述web访问日志样本集中所有记录的最终参数异常值,通过迭代 方式确定最终异常门限阈值,包括:
[0035] 根据所述web访问日志样本集中的所有记录的最终参数异常值,确定异常概率 值,在所述异常概率值大于异常门限阈值时,获得误判率;
[0036] 在所述误判率不小于预设误判率的情况下,对异常门限阈值进行调整,迭代计算 直到获得的误判率小于预设误判率,将当前的异常门限阈值,确定为最终异常门限阈值。
[0037] 为达到上述目的,本发明实施例还公开了一种攻击检测系统,包括:与HTTP请求 相关的预设数量的检测模型、数据预处理模块、检测模块、优化模块和测试模块,其中,
[0038] 所述数据预处理模块,用于获得web访问日志,所述web访问日志包括多条记录, 每条记录包括该条记录的HTTP请求的多个参数;对所获得的web访问日志进行分解,得到 多条记录;针对所得到每条记录,判断该条记录的HTTP请求是否为成功状态;如果是,提取 该条记录的第一数据,所述第一数据至少包括:该条记录的HTTP请求的多个参数;
[0039] 所述检测模块,用于分别利用预先建立的每个检测模型对所述第一数据进行检 测,分别得到每个检测模型针对该条记录的参数异常值;
[0040] 所述优化模块,用于采用web访问日志样本集,根据优化算法计算得到每个检测 模型的参数异常值对应的优化加权值,以及每个检测模型针对该条记录的参数异常值,加 权计算得到针对该条记录的最终参数异常值;根据所述web访问日志样本集中的所有记录 的最终参数异常值,通过迭代方式确定最终异常门限阈值;
[0041] 所述测试模块,用于针对待检测日志记录,获得每个检测模型针对所述待检测日 志记录的参数异常值;根据所述优化加权值以及针对所述待检测日志记录的参数异常值, 计算所述待检测日志记录的最终参数异常值;判断针对所述待检测日志记录的最终参数异 常值是否大于所确定的最终异常门限阈值;如果是,将所述待检测日志记录的HTTP请求确 定为攻击行为。
[0042] 由上述的技术方案可见,本发明实施例提供了一种攻击检测方法及系统,预先建 立预设数量的与HTTP请求相关的检测模型,方法包括:获得web访问日志,所述web访问日 志包括多条记录,每条记录包括该条记录的HTTP请求的多个参数;对所获得的web访问日 志进行分解,得到多条记录;针对所得到每条记录,判断该条记录的HTTP请求是否为成功 状态;如果是,提取该条记录的第一数据,所述第一数据至少包括:该条记录的HTTP请求的 多个参数;分别利用预先建立的每个检测模型对所述第一数据进行检测,分别得到每个检 测模型针对该条记录的参数异常值;采用web访问日志样本集,根据优化算法计算得到每 个检测模型的参数异常值对应的优化加权值,以及每个检测模型针对该条记录的参数异常 值,加权计算得到该条记录的最终参数异常值;根据所述web访问日志样本集中的所有记 录的最终参数异常值,通过迭代方式确定最